A. 華為S3700交換機如何實現埠IP地址過濾
一、IP及MAC地址的採集
1.運行IP修改器,可以設定計算機的IP地址及用戶名(直接可以改成使用者姓名);
2.運行「IP_MACSM-v1.037」MAC地址監視器,獲取每個計算機的IP及MAC地址(導出EXCEL文件);
3.編輯:將IP和MAC地址分別復制到「批量命令」表格中,獲取MAC地址的三段式及arp綁定命令、埠過濾命令。復制到記事本中,MAC地址與IP地址間應有空格。
二、進行綁定及過濾
1.連接三層交換機與電腦,三層交換機埠為:console,電腦連接9針介面;
2.安裝HAP_SecureCRT_5.1.2軟體,輸入名字:Windows;公司:IC;序列號:03-50-006248
許可密鑰:ADPUSB W3DQ5B ZC35EJ 99AG3T ACM47V SAK5W68CD1YZ GJU7JK;發布日期:27-06-2006進行注冊;
3.運行該軟體進行第一次設置:配置文件-快速連接-協議「Serial」-埠「com1」-波特率「9600」-數據位「8」-奇偶校驗「無」-停止位「1」-數據項控制去掉「√」,保存會話。
4.進入軟體按回車鍵,出現<Qidway> 輸入sy尖括弧變為方括弧
(1)查看綁定命令 dispplay arp 顯示S 為靜態(綁定),D為動態;(發現一個問題,如果電腦沒有開機,顯示的ARP列表中就沒有相應的埠號顯示)
(2)綁定命令 art static *.*.*.* H-H-H (說明,*.*.*.* 是IP地址,H-H-H是三段式MAC地址);
(3)過濾命令,S3700不需要進埠,而是直接在命令中輸入埠號及VLAN號。1、過濾命令:user-bind static mac-addr H-H-H IP-addr *.*.*.* interface Eth0/0/15 vlan 5(*.*.*.* 是IP地址,H-H-H是三段式MAC地址,此命令允許該埠下,命令中的IP、MAC的地址通過,Eth0/0/15為埠號,需要按實際填寫,vlan 5為該IP地址所處的VLAN號,需要按實際填寫);
(4)按S3900的操作,至此應該可以完成過濾,但實際情況發現換用其它的IP地址後,過濾過的這台電腦仍然可以上網,需要進埠配置相關的設置。
輸入命令:interface Eth0/0/15,進入15號埠。
繼續輸入命令:arp anti-attack check user-bind enable //檢查MAC地址
arp anti-attack check user-bind alarm enable
ip source check user-bind enable //檢查MAC和IP的對應關系
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
(5)如何查看過濾情況,未找到對應的命令,請知道的朋友幫忙補充哦。
(6)如果綁定或是過濾錯誤,按以下方式修改,一、某個IP錯誤綁定 執行 undo arp *.*.*.* 即可(*.*.*.*為綁錯的IP地址) 二、過濾錯誤 1、undo user-bind static mac-addr H-H-H ip-addr *.*.*.* (H-H-H 為MAC地址,*.*.*.* 為IP地址)
(6)注意綁定、過濾後輸入quit退出,再輸入save保存(Y/N)Y.
B. 信息系統安全的保障體制有哪些
系統的不安全因素按威脅的對象可以分為三種:一是對網路硬體的威脅,這主要指那些惡意破壞網路設施的行為,如偷竊、無意或惡意毀損等等;二是對網路軟體的威脅,如病毒、木馬入侵,流量攻擊等等;三是對網路上傳輸或存儲的數據進行的攻擊,比如修改數據,解密數據,刪除破壞數據等等。這些威脅有很多很多,可能是無意的,也可能是有意的,可能是系統本來就存在的,也可能是我們安裝、配置不當造成的,有些威脅甚至會同時破壞我們的軟硬體和存儲的寶貴數據。如CIH病毒在破壞數據和軟體的同時還會破壞系統BIOS,使整個系統癱瘓。針對威脅的來源主要有以下幾方面:
1.1無意過失
如管理員安全配置不當造成的安全漏洞,有些不需要開放的埠沒有即時用戶帳戶密碼設置過於簡單,用戶將自己的帳號密碼輕意泄漏或轉告他人,或幾人共享帳號密碼等,都會對網路安全帶來威脅。
1.2惡意攻擊
這是我們賴以生存的網路所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊,它有選擇地破壞信息的有效性和完整性,破壞網路的軟硬體系統,或製造信息流量使我們的網路系統癱瘓;另一類是隱藏攻擊,它是在不影響用戶和系統日常工作的前提下,採取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網路系統造成極大的危害,並導致機密數據的外泄或系統癱瘓。
1.3漏洞後門
網路操作系統和其他工具、應用軟體不可能是百分之百的無缺陷和無漏洞的,尤其是我們既愛又恨的「Windows」系統,這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道,無數次出現過的病毒(如近期的沖擊波和震盪波就是採用了Windows系統的漏洞)造成的重大損失和慘痛教訓,就是由我們的漏洞所造成的。黑客浸入網路的事件,大部分也是利用漏洞進行的。「後門」是軟體開發人員為了自己的方便,在軟體開發時故意為自己設置的,這在一般情況下沒有什麼問題,但是一旦該開發人員有一天想不通要利用利用該「後門」,那麼後果就嚴重了,就算他自己安分守己,但一旦「後門」洞開和泄露,其造成的後果將更不堪設想。
如何提高網路信息系統安全性
2.1 物理安全策略
物理安全策略的目的是保護計算機系統、伺服器、網路設備、列印機等硬體實體和通信鏈路的物理安全,如採取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由於很多計算機系統都有較強的電磁泄漏和輻射,確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度,伺服器應該放在安裝了監視器的隔離房間內,並且要保留1天以上的監視記錄,另外機箱、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另外的安全位置,防止未經授權而進入計算機控制室,防止各種偷竊、竊取和破壞活動的發生。
2.2 訪問控制策略
網路中所能採用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用,但訪問控制策略可以說是保證網路安全最重要的核心策略之一。它的主要目的是保證網路信息不被非法訪問和保證網路資源不被非法使用。它也是維護網路系統安全、保護網路資源的重要手段。下面我們分述各種訪問控制策略。
2.2.1 登陸訪問控制
登陸訪問控制為網路訪問提供了第一層訪問控制。通過設置帳號,可以控制哪些用戶能夠登錄到伺服器並獲取網路信息和使用資源;通過設置帳號屬性,可以設置密碼需求條件,控制用戶在哪些時段能夠登陸到指定域,控制用戶從哪台工作站登陸到指定域,設置用戶帳號的失效日期。
注:當用戶的登錄時段失效時,到域中網路資源的鏈接不會被終止。然而,該用戶不能再創建到域中其他計算機的新鏈接。
用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然後是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。
由於用戶名和密碼是對網路用戶的進行驗證的第一道防線。所以作為網路安全工作人員在些就可以採取一系列的措施防止非法訪問。
a. 基本的設置
應該限制普通用戶的帳號使用時間、方式和許可權。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計,如果多次輸入口令不正確,則應該認為是非法入侵,應給出報警信息,並立即停用該帳戶。
b. 認真考慮和處理系統內置帳號
建議採取以下措施:i.停用Guest帳號,搞不懂Microsoft為何不允許刪除Guest帳號,但不刪除我們也有辦法:在計算機管理的用戶和組裡面,把Guest帳號禁用,任何時候都不允許Guest帳號登陸系統。如果還不放心,可以給Guest帳號設置一個長而復雜的密碼。這里為對Windows 2有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2系統的帳號信息,是存放在注冊表HKEY_LOCAL_MACHINE\SAM里的,但即使我們的系統管理員也無法打開看到這個主鍵,這主要也是基於安全的原因,但是「System」帳號卻有這個許可權,聰明的讀者應該知道怎麼辦了吧,對了,以「SYSTEM」許可權啟動注冊表就可以了,具體方法為:以「AT」命令來添加一個計劃任務來啟動Regedit.exe程序,然後檢查注冊表項,把帳號Guest清除掉。首先,看一下時間 :3,在「運行」對話框中或「cmd」中運行命令:at :31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是「SYSTEM」了,/interactive的目的是讓運行的程序以互動式界面的方式運行。一分鍾後regedit.exe程序運行了,依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,將以下兩個相關鍵全部刪掉:一個是1F5,一個是Names下面的Guest。完成後我們可是用以下命令證實Guest帳號確實被刪掉了「net user guest」。ii.系統管理員要擁有兩個帳號,一個帳號是具有管理員許可權,用於系統管理,另一個帳號只有一般許可權,用於日常操作。這樣只有在維護系統或安裝軟體時才用管理員身份登陸,有利於保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用,這樣Microsoft就給Hacker們提供了特別大的幫助,但我們也可將之改名,如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等於白改的名字。
c. 設置欺騙帳號
這是一個自我感覺非常有用的方法:創建一個名為Administrator的許可權最低的欺騙帳號,密碼設置相當復雜,既長又含特殊字元,讓Hacker們使勁破解,也許他破解還沒有成功我們就已經發現了他的入侵企圖,退一步,即使他破解成功了最後還是會大失所望的發現白忙半天。
d. 限制用戶數量
因為用戶數量越多,用戶許可權、密碼等設置的缺陷就會越多,Hacker們的機會和突破口也就越多,刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。
e. 禁止系統顯示上次登陸的用戶名
Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能,下次重啟時,會在用戶名欄中提示上次用戶的登陸名,這個信息可能被別有用心的人利用,給系統和用戶造成隱患,我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表,展開到以下分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在此分支下新建字元串命名為:DontDisplayLastUserName,並把該字元串值設為:「1」,完成後重新啟動計算機就不會顯示上次登錄用戶的名字了。
f. 禁止建立空連接
默認情況下,任何用戶通過空連接連上伺服器後,可能進行枚舉帳號,猜測密碼,我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表,展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然後將該分支下的restrictanonymous的值改為「1」即可。
g. 通過智能卡登錄
採用攜帶型驗證器來驗證用戶的身份。如廣泛採用的智能卡驗證方式。通過智能卡登錄到網路提供了很強的身份驗證方式,因為,在驗證進入域的用戶時,這種方式使用了基於加密的身份驗證和所有權證據。
例如,如果一些別有用心的人得到了用戶的密碼,就可以用該密碼在網路上冒稱用戶的身份做一些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等),這會使密碼先天脆弱,很容易受到攻擊。
在使用智能卡的情況下,那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由於需要其它的信息才能假扮用戶,因而這種組合可以減少攻擊的可能性。另一個好處是連續幾次輸入錯誤的 PIN 後,智能卡將被鎖定,因而使得採用詞典攻擊智能卡非常困難。
2.2.2 資源的許可權管理
資源包括系統的軟硬體以及磁碟上存儲的信息等。我們可以利用Microsoft 在Windows 2中給我們提供的豐富的許可權管理來控制用戶對系統資源的訪問,從而起到安全管理的目的。
a. 利用組管理對資源的訪問
組是用戶帳號的集合,利用組而不用單個的用戶管理對資源的訪問可以簡化對網路資源的管理。利用組可以一次對多個用戶授予許可權,而且在我們對一個組設置一定許可權後,以後要將相同的許可權授予別的組或用戶時只要將該用戶或組添加進該組即可。
如銷售部的成員可以訪問產品的成本信息,不能訪問公司員工的工資信息,而人事部的員工可以訪問員工的工資信息卻不能訪問產品成本信息,當一個銷售部的員工調到人事部後,如果我們的許可權控制是以每個用戶為單位進行控制,則許可權設置相當麻煩而且容易出錯,如果我們用組進行管理則相當簡單,我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。
b. 利用NTFS管理數據
NTFS文件系統為我們提供了豐富的許可權管理功能,利用了NTFS文件系統就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內容、讀和執行、修改、全面控制等許可權,甚至還可以定義一些特殊許可權。NTFS只適用於NTFS磁碟分區,不能用於FAT或FAT32分區。不管用戶是訪問文件還是文件夾,也不管這些文件或文件夾是在計算機上還是在網路上,NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機,還包括他們被授予的訪問許可權。注意:要正確和熟練地使用NTFS控制許可權的分配必須深入了解NTFS許可權的特點、繼承性、「拒絕」許可權的特性以及文件和文件夾在復制和移動後的結果。一個網路系統管理員應當系統地考慮用戶的工作情況並將各種許可權進行有效的組合,然後授予用戶。各種許可權的有效組合可以讓用戶方便地完成工作,同時又能有效地控制用戶對伺服器資源的訪問,從而加強了網路和伺服器的安全性。
2.2.3 網路伺服器安全控制
網路伺服器是我們網路的心臟,保護網路伺服器的安全是我們安全工作的首要任務,沒有伺服器的安全就沒有網路的安全。為了有效地保護伺服器的安全,我們必須從以下幾個方面開展工作。
a. 嚴格伺服器許可權管理
由於伺服器的重要地位,我們必須認真分析和評估需要在伺服器上工作的用戶的工作內容和工作性質,根據其工作特點授予適當的許可權,這些許可權要保證該用戶能夠順利地完成工作,但也決不要多給他一點許可權(即使充分相信他不會破壞也要考慮他的誤操作),同時刪除一些不用的和沒有必要存在的用戶和組(如員工調動部門或辭退等)。根據情況限制或禁止遠程管理,限制遠程訪問許可權等也是網路安全工作者必需考慮的工作。
b. 嚴格執行備份操作
作為一個網路管理員,由於磁碟驅動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最為常見的事情。為了保證系統能夠從災難中以最快的速度恢復工作,最大化地降低停機時間,最大程度地挽救數據,備份是一個最為簡單和可靠的方法。Windows 2 集成了一個功能強大的圖形化備份實用程序。它專門為防止由於硬體或存儲媒體發生故障而造成數據丟失而設計的。它提供了五個備份類型:普通、副本、差異、增量和每日,我們根據備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。
警告:對於從Windows 2 NTFS卷中備份的數據,必須將之還原到一個Windows 2 NTFS卷中,這樣可以避免數據丟失,同時能夠保留訪問許可權、加密文件系統(Encrypting File System)設置信息、磁碟限額信息等。如果將之還原到了FAT文件系統中,將丟失所有加密數據,同時文件不可讀。
c. 嚴格起用備用伺服器
對於一些非常重要的伺服器,如域控制器、橋頭伺服器、DHCP伺服器、DNS伺服器、WINS伺服器等擔負網路重要功能的伺服器,也包括那些一旦癱瘓就要嚴重影響公司業務的應用程序伺服器,我們應該不惜成本建立備份機制,這樣即使某個伺服器發生故障,對我們的工作也不會造成太大的影響。我們也可以利用Windows 2 Advance Server的集群功能使用兩個或兩個以上的伺服器,這樣不但可以起到備用的作用,同時也能很好地提高服務性能。
d. 使用RAID實現容錯功能
使用RAID有軟體和硬體的方法,究竟採用哪種要考慮以下一些因素:
硬體容錯功能比軟體容錯功能速度快。
硬體容錯功能比軟體容錯功能成本高。
硬體容錯功能可能被廠商限制只能使用單一廠商的設備。
硬體容錯功能可以實現硬碟熱交換技術,因此可以在不關機的情況下更換失敗的硬碟。
硬體容錯功能可以採用高速緩存技術改善性能。
Microsoft Windows 2 Server支持三種類型的軟體RAID,在此作一些簡單描述:
u RAID (條帶卷)
RAID 也被稱為磁碟條帶技術,它主要用於提高性能,不屬於安全范疇,在此略過,有興趣的朋友可以參閱相關資料。
u RAID 1(鏡像卷)
RAID 1 也被稱為磁碟鏡像技術,它是利用Windows 2 Server的容錯驅動程序(Ftdisk.sys)來實現,採用這種方法,數據被同時寫入兩個磁碟中,如果一個磁碟失敗了,系統將自動用來自另一個磁碟中的數據繼續運行。採用這種方案,磁碟利用率僅有5%。
可以利用鏡像卷保護系統磁碟分區或引導磁碟分區,它具有良好的讀寫性能,比RAID 5 卷使用的內存少。
可以採用磁碟雙工技術更進一步增強鏡像卷的安全性,它不需要附加軟體支持和配置。(磁碟雙工技術:如果用一個磁碟控制器控制兩個物理磁碟,那麼當磁碟控制器發生故障,則兩個磁碟均不能訪問,而磁碟雙工技術是用兩個磁碟控制器控制兩個物理磁碟,當這兩個磁碟組成鏡像卷時更增強了安全性:即使一個磁碟控制器損壞,系統也能工作。)
鏡像卷可以包含任何分區,包括引導磁碟分區或系統磁碟分區,然而,鏡像卷中的兩個磁碟必須都是Windows 2 的動態磁碟。
u RAID 5(帶有奇偶校驗的條帶卷)
在Windows 2 Server中,對於容錯卷,RAID 5是目前運用最廣的一種方法,它至少需要三個驅動器,最多可以多達32個驅動器。Windows 2 通過在RAID-5卷中的各個磁碟分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁碟失敗了,系統可以利用奇偶信息和剩餘磁碟中的數據來重建丟失的數據。
注:RAID-5卷不能保護系統磁碟和引導磁碟分區。
e. 嚴格監控系統啟動的服務
很多木馬或病毒程序都要在系統中創建一個後台服務或進程,我們應該經常檢查系統,一旦發現一些陌生的進程或服務,就要特別注意是否有木馬、病毒或間諜等危險軟體運行。作為網路管理員,經常檢查系統進程和啟動選項是應該養成的一個經常習慣。這里有一個對初級網路管理員的建議:在操作系統和應用程序安裝完成後利用工具軟體(如Windows優化大師等軟體)導出一個系統服務和進程列表,以後經常用現有的服務和進程列表與以前導出的列表進行比較,一旦發現陌生進程或服務就要特別小心了。
2.2.4 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
伺服器允許在伺服器控制台上執行一些如裝載和卸載管理模塊的操作,也可以進行安裝和刪除軟體等操作。網路伺服器的安全控制包括設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定伺服器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。
2.2.5 防火牆控制
防火牆的概念來源於古時候的城堡防衛系統,古代戰爭中為了保護一座城市的安全,通常是在城市周圍挖出一條護城河,每一個進出城堡的人都要通過一個吊橋,吊橋上有守衛把守檢查。在設計現代網路的時候,設計者借鑒了這一思想,設計出了現在我要介紹的網路防火牆技術。
防火牆的基本功能是根據一定的安全規定,檢查、過濾網路之間傳送的報文分組,以確定它們的合法性。它通過在網路邊界上建立起相應的通信監控系統來隔離內外網路,以阻止外部網路的侵入。我們一般是通過一個叫做分組過濾路由器的設備來實現這個功能的,這個路由器也叫做篩選路由器。作為防火牆的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網路層,可以根據網路層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網關的檢查。因此,從協議層次模型的角度看,防火牆應覆蓋網路層、傳輸層與應用層。
其他的你去: 上面都有太多了`我復制不下來``
另外,團IDC網上有許多產品團購,便宜有口碑